广播风暴
网络广播风暴
广播风暴(broadcast storm)简单的讲是指当广播数据充斥网络无法处理,并占用大量网络带宽,导致正常业务不能运行,甚至彻底瘫痪,这就发生了“广播风暴”。一个数据帧或包被传输到本地网段 (由广播域定义)上的每个节点就是广播;由于网络拓扑的设计和连接问题,或其他原因导致广播在网段内大量复制,传播数据帧,导致网络性能下降,甚至网络瘫痪,这就是广播风暴。
基本介绍
广播风暴也叫网络广播风暴,广播风暴(broadcast storm)故障,即一个数据包或帧被传送到本地网段(由广播域定义)上的每个节点就是广播;网络上的广播帧由于被转发,数量急剧增加而出现无法正常网络通信的反常现象。广播风暴会占用相当可观的网络带宽,导致正常数据包无法正常运行。当广播数据充斥网络无法处理并占用大量网络带宽,导致正常业务不能运行,这就发生了广播风暴,造成局域网局部或整个网络瘫痪。
广播风暴是一种很严重的网络故障。以预防为主的防治措施应是主要对策。要养成良好的网络设备管理习惯,加强故障监控是主要的防范措施,追查截杀恶意程序和病毒入侵时刻不能放松。要不断研究排除和预防广播风暴的先进技术,及时升级和优化最安全可靠的防火墙,提高互联网设备维护水平,确保互联网安全高速运行。
危害
1、大规模耗用链路带宽,使得正常数据不能得到有效传输
网络中的HUB、交换机等交换设备会对广播数据帧进行泛洪操作。若网络中出现环路,交换设备经过多次泛洪之后,网络中就会出现大量方向互异的广播流,远远大过了交换设备所能承载的数据上限,从而正常的数据帧传输受到了抑制,便会导致信道的拥塞,其结果往往是延时或丢帧。
2、造成交换机资源被占用,导致死机
交换机对每个帧都要进行诸如缓存、检错、查询MAC地址表等操作,这些操作均会占用其部分CPU,当大量的广播帧经过交换机处理时,就会大量占用系统资源,最终造成其“死机”状态。
原因对策
广播风暴的产生有多种原因,如蠕虫病毒交换机端口故障网卡故障、链路冗余没有启用生成树协议、网线线序错误或受到干扰等。从目前来看,蠕虫病毒和ARP攻击是造成网络广播风暴最主要的原因。虽说如今网络广播风暴已经很少见了,但在一些使用集线器的网络中仍然非常常见。解决网络广播风暴最快捷的方法是给集线器断电然后上电启动即可,但这只是治标不治本的方法,要彻底解决,最好使用交换机设备,并划分VLAN、通过端口控制网络广播风暴。否则,如果广播风暴是由于网卡损坏所致,要从上百台计算机找出故障计算机简直就是大海捞针,那将是网管员的一场噩梦。 下面就几个引发广播风暴的原因及其对策进行阐述。
1、误将智能型集线器作为交换机引发广播风暴
采购人员或者奸商将智能型集线器当作交换机使用,这样,当网络稍微繁忙时,由于集线器的天生缺陷,故引发了广播风暴(广播风暴不是由集线器引起的,而交换机也只是起到隔离广播的作用)。
对策:检查所使用的网络设备是否是交换机,如果不是则更换正确的交换机,切记不要使用集线器
2、网线短路
压制网线时没有做好,或者网线表面有磨损导致短路,会引起交换机的端口阻塞,因为交换机大多都使用存储转发技术,它的工作原理是对某一段数据包进行分析判断寻址,并进行转发,在发出前均存储在交换机的缓冲区内,当网线发生短路时,该交换机将接收到大量的不符合分装原则的包,造成交换机处理器工作繁忙, 数据包来不及转发,从而导致缓冲区溢出产生丢包现象,导致广播风暴。
对策:使用MRGT等流量查看软件可以查看出现短路的端口,如果交换机是可网管的,也可以通过逐个封闭端口来进行处理查找,进而找到有问题的网线。找到短路的网线后,更换一根网线。
3、接入层拓扑环
当网络中存在环路,就会造成每一帧都在网络中重复广播,引起广播风暴。要消除这种网络循环连接带来的网络广播风暴可以使用STP协议生成树协议),以网络中一台交换机为节点生成一棵转发树,这样所有的数据都只在这棵树所指示的路径上传输,就不会产生广播风暴——因为树没有环路。但因为STP算法开销太大,交换机默认都没启用该协议。
对策:在接入层启用树生成协议,或者在诊断故障时打开树生成协议,以便协助确定故障点。在广播风暴发生时,应首先了解发生故障前网络的改动,建立完善的网络文档资料,包括:网络布线图、IP地址和MAC地址对应表等,可以通过局域网工具软件来扫描获取这些信息。
4、傻瓜交换机
可网管的交换机由于具备生成树协议功能,可自动切断级联交换机环回端口,避免网络拓扑环的产生,但这个功能,傻瓜交换机并不具备。在同一傻瓜交换机上的不同端口,或傻瓜交换机之间有冗余的连接,就导致网络拓扑环的发生,进而导致网络广播风暴,造成网络通讯失败。
对策:用于级联交换机跳线应当做一些特殊标记,最好选择使用不同颜色的跳线,与其他普通跳线相区别。
5、蠕虫病毒
当网络中某计算机感染蠕虫病毒时,如Funlove、震荡波、RPC等病毒,如果查看该网卡的发送包和接收包的数量时发现发包数在快速增加,则说明该计算机感染了蠕虫病毒,通过网络传播,损耗大量的网络带宽,引起网络堵塞,导致广播风暴。
对策:为每台计算机安装杀毒软件,并配置补丁服务器(WSUS)来保证局域网内所有的计算机都能及时打上最新的补丁。
预防措施
1、做好网络病毒的预防工作
网络中如果感染了蠕虫病毒或受到ARP病毒的攻击,都有可能导致网络中出现堵塞耗损网络带宽,进而导致广播风暴。为此,应当在允许的前提下为各终端安装杀毒软件;将计算机系统中一些不必要的网络服务暂时停止掉,将那些使用不到的网络端口关闭掉;对于U盘等存储设备的使用也应当尽量专网专用,尽量切断病毒的跨网传播途径。
2、启用生成树协议,做好网络拓扑图
当网络里有链路存在环接现象,就会导致广播数据帧在网络中重复产生,引起广播风暴。若希望将这种网络链路环接带来的广播风暴消除可以使用交换机中的STP协议,其工作原理是以网络中某台交换机为节点形成一个树状转发拓扑,这样网络中的数据都会按照这棵树指示的路径进行传输,从逻辑上消除了网络环路,从而消除了广播风暴。但因为STP算法对交换机资源及CPU的开销太大,交换机一般默认都不开启该协议。另外,在广播风暴发生时,应当对先前网络拓扑等的临时性改动有所了解,建立完善的各项文档资料,包括:网络布线图、网络拓扑图、IP-MAC地址对应表,有了完善的网络文档资料后,也可以避免在对现有网络进行变动时造成网络环路。
3、划分VLAN
VLAN是一种将局域网设备从逻辑上划分成一个个网段从而实现虚拟工作单元的数据交换技术,二层、三层交换机基本都配备了这一功能。在同一个Vlan中,所有设备都是同一个广播域的成员,并接收所有的广播。而不是同一个Vlan成员的交换机上,所有的端口都会对广播数据进行过滤。因此,通过VLAN的划分可以有效地缩小广播风暴产生的范围,也能够在产生广播风暴时得到更准确的定位,减少排故时间。
经验总结
作为网络管理员,在面对网络广播风暴发生时,要冷静分析广播风暴产生的原因,可使用二分法、排除法、替换法和网线插拔法等多种方法综合运用,一步一步地进行故障排除,快速定位引发广播风暴的故障点,查出引发广播风暴的原因,及时采取相应措施来消灭广播风暴。 总的来看,要解决广播风暴的问题,可以从以下几个方面入手:
一、在局域网中安装WSUS补丁服务器,保证局域网所有计算机都能及时打上最新的补丁。
二、最好在局域网内安装网络版的防毒服务器,如无条件,起码也得保证单机版的防毒软件的病毒库是经常更新的。
三、检查每一台计算机的网卡网线交换机的每一个端口,检查是否有故障。
四、当广播风暴发生时,观察交换机的指示灯不啻为很好的方法,可直接观察网络连通性及网络流量
要避免广播风暴,可以采用恰当划分VLAN、缩小广播域、隔离广播风暴,还可在千兆以太网口上启用广播风暴控制,最大限度地避免网络再次陷入瘫痪。当端口接受到大量的广播、单播组播的包时,就会发生广播风暴。转发这些包会导致网络速度变慢或超时,在交换机上借助对端口的广播风暴控制可以有效避免硬件损坏或链路故障导致的广播风暴的网络瘫痪
从实际经验来看,90%以上的网络广播风暴病毒所致,因此,在局域网中配备防病毒系统,购置IDS入侵检测系统、网络流量检测工具等,以加强网络病毒的防治,加强对网络线路运行状态的监控,及时发现和处理网络上的异常流量和病毒攻击等问题,并制定计算机安全管理制度,确保网络线路的正常运行。
参考资料
最新修订时间:2022-08-25 17:29
目录
概述
基本介绍
参考资料